WordPress 漏洞报告:2021 年 10 月,第 2 部分
已发表: 2021-10-13易受攻击的插件和主题是 WordPress 网站被黑客入侵的第一大原因。 由 WPScan 提供支持的每周 WordPress 漏洞报告涵盖最近的 WordPress 插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。
每个漏洞的严重性等级为“低”、 “中” 、“高”或“严重” 。 负责任地披露和报告漏洞是保持 WordPress 社区安全的一个组成部分。
请与您的朋友分享这篇文章,以帮助宣传并让每个人都更安全地使用 WordPress。
WordPress 核心漏洞
WordPress 核心的最新版本是 5.8.1,作为安全和维护版本发布。 作为最佳实践,请始终确保运行最新版本的 WordPress 核心!
WordPress 插件漏洞
在本节中,已经披露了最新的 WordPress 插件漏洞。 每个插件列表都包括漏洞类型、补丁版本号和严重等级。
1. 简单的 PayPal 立即购买按钮
插件: Easy PayPal 立即购买按钮
漏洞:CSRF 到存储的跨站点脚本
补丁版本:1.7.3
严重性评分:高
2. 活动变得简单
插件:活动变得简单
漏洞:管理员+存储的跨站点脚本
补丁版本:2.2.24
严重性评分:低
3. BP 更好的消息
插件: BP 更好的消息
漏洞:反射跨站脚本
补丁版本:1.9.9.41
严重性评分:高
插件: BP 更好的消息
漏洞:多个 CSRF
补丁版本:1.9.9.41
严重性评分:中
4. 主题生成器
插件:主题生成器
漏洞:反射跨站脚本
补丁版本:5.3.2
严重性评分:高
5. 远期到期标头
插件:远期到期标头
漏洞:通过 CSRF 更新插件的设置
补丁版本:1.5
严重性评分:中
6. 图像源控制
插件:图像源控制
漏洞:贡献者+任意发布元值变化
补丁版本:2.3.1
严重性评分:中
7.徽标滑块和展示柜
插件:徽标滑块和展示柜
漏洞:编辑器插件的设置更新
补丁版本:1.3.37
严重性评分:低
8. WooCommerce 的 Cardinity 支付网关
插件: WooCommerce 的 Cardinity 支付网关
漏洞:反射跨站脚本
补丁版本:3.0.7
严重性评分:高
9. Sonaar 用于音乐、广播和播客的 MP3 音频播放器
插件: Sonaar 用于音乐、广播和播客的 MP3 音频播放器
漏洞:多个管理员+跨站点脚本
补丁版本:2.4.2
严重性评分:低
10. 贝宝捐赠
插件:贝宝捐赠
漏洞:CSRF 可任意发布删除
补丁版本:1.3.1
严重性评分:中
插件:贝宝捐赠
漏洞:CSRF 到存储的跨站点脚本
补丁版本:1.3.1
严重性评分:高
11. 即将推出,正在建设和维护模式下 Dazzler
插件:即将推出,正在建设和维护模式下由 Dazzler
漏洞:管理员+存储的跨站点脚本
补丁版本:1.6.7
严重性评分:低
12. 翻译 WordPress – 谷歌语言翻译
插件:翻译 WordPress – 谷歌语言翻译
漏洞:管理员+存储的跨站点脚本
补丁版本:6.0.12
严重性评分:低
13. Booking.com 产品助手
插件: Booking.com 产品助手
漏洞:管理员+存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:低
14. Booking.com 横幅创作者
插件: Booking.com Banner Creator
漏洞:管理员+存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:低
15.简单的下载监视器
插件:简单的下载监视器
漏洞:未经授权的日志重置
补丁版本:3.9.6
严重性评分:中
插件:简单的下载监视器
漏洞:任意缩略图删除
补丁版本:3.9.6
严重性评分:中
插件:简单的下载监视器
漏洞:未经身份验证的日志访问
补丁版本:3.9.6
严重性评分:中
插件:简单的下载监视器
漏洞:反射跨站脚本
补丁版本:3.9.5
严重性评分:高
插件:简单的下载监视器
漏洞:贡献者+通过文件缩略图存储的跨站点脚本
补丁版本:3.9.5
严重性评分:高
16. 双向聊天
插件:双向聊天
漏洞:多个 CSRF
补丁版本:3.1.5
严重性评分:中
插件:双向聊天
漏洞:管理员+本地文件包含
补丁版本:3.1.5
严重性评分:低
17. WP-召回
插件: WP-召回
漏洞:反射跨站脚本
补丁版本:16.24.48
严重性评分:高
18. JobSearch WP工作委员会
插件: JobSearch WP 工作板
漏洞:订阅者+任意博客选项更新
补丁版本:1.8.2
严重性评分:高
插件: JobSearch WP 工作板
漏洞:未经身份验证的插件设置更新
补丁版本:1.8.2
严重性评分:中
插件: JobSearch WP 工作板
漏洞:订阅者+添加/更新计划呼叫
补丁版本:1.8.2
严重性评分:中
19. TheCartPress 电子商务购物车
插件: TheCartPress 电子商务购物车
漏洞:CSRF 到存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
20. MStore API
插件: MStore API
漏洞:未经身份验证的 PHP 文件上传
已修补版本:无已知修复 - 插件已关闭
严重性评分:严重
21.媒体文件重命名器 - 自动和手动重命名
插件:媒体文件重命名器 - 自动和手动重命名
漏洞:通过 CSRF 的媒体标题/文件名/锁定状态更新
补丁版本:5.2.7
严重性评分:中
22. 批量猫
插件:批处理猫
漏洞:订阅者+任意类别添加/设置/删除帖子
已修补版本:无已知修复 - 插件已关闭
严重性评分:中
23. qTranslate X
插件: qTranslate X
漏洞:多个管理员+存储的跨站点脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:低
24. 世界旅游资讯
插件:世界旅游信息
漏洞:反射跨站脚本
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
25. WP调查加
插件: WP Survey Plus
漏洞:订阅者+ AJAX 调用
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
26. WP站点地图页面
插件: WP 站点地图页面
漏洞:管理员+存储的跨站点脚本
已修补版本:无已知修复
严重性评分:低
27. WP Bannerize 2.0.0
插件: WP Bannerize 2.0.0
漏洞:经过身份验证的 SQL 注入
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
28. 精灵 WP Favicon
插件:精灵 WP Favicon
漏洞:通过 CSRF 任意更改 Favicon
已修补版本:无已知修复 - 插件已关闭
严重性评分:中
29、凤凰传媒更名
插件:凤凰传媒更名
漏洞:作者任意媒体文件重命名
补丁版本:3.4.4
严重性评分:中
30. 访客流量实时统计
插件:访客流量实时统计
漏洞:订阅者+ SQL 注入
补丁版本:3.9
严重性评分:高
31. AddToAny 分享按钮
插件: AddToAny 分享按钮
漏洞:管理员+存储的跨站点脚本
补丁版本:1.7.48
严重性评分:低
32.强大的表单生成器
插件:强大的表单生成器
漏洞:管理员+存储的跨站点脚本
补丁版本:5.0.07
严重性评分:低
33. 防弹安全
插件:防弹安全
漏洞:敏感信息泄露
补丁版本:5.2
严重性评分:中
34. WP全部出口
插件: WP全部导出
漏洞:管理员+存储的跨站点脚本
补丁版本:1.3.1
严重性评分:低
35. 将 404 错误页面重定向到主页或带有日志的自定义页面
插件:将 404 错误页面重定向到主页或带有日志的自定义页面
漏洞:通过 CSRF 删除日志
补丁版本:1.7.9
严重性评分:中
36. 访问演示导入器
插件:访问演示导入器
漏洞:订阅者+任意文件上传
补丁版本:1.0.7
严重性评分:高
37.下载监视器
插件:下载监视器
漏洞:未经身份验证的日志下载
补丁版本:1.9.7
严重性评分:中
插件:下载监视器
漏洞:反射跨站脚本(XSS)
补丁版本:1.7.1
严重性评分:中
插件:下载监视器
漏洞:经过身份验证的目录列表
补丁版本:1.6.4
严重性评分:中
插件:下载监视器
漏洞:多重反射跨站脚本
补丁版本:3.3.6.2
严重性评分:中
38.无限弹出窗口
插件:无限弹出窗口
漏洞:作者+ SQL注入
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
39. Schreikasten
插件: Schreikasten
漏洞:作者+ SQL 注入
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
40. 发布内容 XMLRPC
插件:发布内容 XMLRPC
漏洞:作者+ SQL 注入
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
41.哇形式
插件:哇形式
漏洞:作者+ SQL 注入
已修补版本:无已知修复 - 插件已关闭
严重性评分:高
42. 自动超链接
插件: G 自动超链接
漏洞:作者+ SQL注入
已修补版本: 无已知修复 - 插件已关闭
严重性评分:中
43.变色龙CSS
插件:变色龙 CSS
漏洞:订阅者+ SQL 注入
已修补版本:无已知修复 - 插件已关闭
严重性评分:严重
44. 蜘蛛目录
插件: SpiderCatalog
漏洞:作者+ SQL注入
已修补版本:无已知修复 - 插件已关闭
严重性评分:中
45. 支持板
插件:支持板
漏洞:Agent+ 存储的跨站脚本
补丁版本:3.3.5
严重性评分:中
46. 年龄之门
插件:年龄之门
漏洞:经过身份验证的存储跨站点脚本
补丁版本:2.16.4
严重性评分:中
47.内联相关帖子
插件:内联相关帖子
漏洞:管理员+跨站脚本
补丁版本:3.0.5
严重性评分:低
如何保护您的 WordPress 网站免受易受攻击的插件和主题的影响
从这份报告中可以看出,每周都会披露大量新的 WordPress 插件和主题漏洞。 我们知道很难掌握每个报告的漏洞披露,因此 iThemes Security Pro 插件可以轻松确保您的网站没有运行具有已知漏洞的主题、插件或 WordPress 核心版本。
1. 扫描已知网站漏洞
iThemes Security Pro 插件扫描 WordPress 网站被黑客入侵的第一大原因:过时的插件和具有已知漏洞的主题。
2. 自动更新到安全版本
iThemes Security Pro 中的版本管理功能与站点扫描集成以保护您的站点。 易受攻击的主题、插件和 WordPress 核心版本将自动为您更新。
3. 监控文件更改
快速发现安全漏洞的关键是监控您网站上的文件更改。 iThemes Security Pro 中的文件更改检测功能将扫描您网站的文件,并在您的网站发生更改时提醒您。
获取具有 24/7 网站监控的 iThemes Security Pro
iThemes Security Pro 是我们的 WordPress 安全插件,提供 50 多种方法来保护您的网站免受常见 WordPress 安全漏洞的侵害。 借助 WordPress、双重身份验证、暴力破解保护、强密码强制执行等功能,您可以为您的网站添加额外的安全层。